Sé listo y haz caso a las señales

Hace poco recibimos un correo electrónico, supuestamente de Movistar, en el que se nos recordaba que teníamos una cita con el técnico al día siguiente.

Lo analizamos y nos dimos cuenta de algunas cosas que no nos cuadraban y en las que te convendría fijarte si recibes este mail u otro similar:

1. Has recibido este correo electrónico de Telefónica y ni siquiera eres cliente de este operador telefónico.

2. No has llamado previamente a la compañía ni has enviado un mail para solicitar cita con un técnico.

3. El lenguaje utilizado en el cuerpo del correo no es correcto: para que el texto estuviera bien escrito en lugar de “Si gusta anular o modificar visita agendada favor ingrese a….” debería poner “Si DESEA anular o modificar LA visita agendada POR favor DIRÍJASE a…”

4. El enlace a la web no es el habitual de Telefónica: en el mail que nos ha llegado vemos un link (http://m.mvch.cl/agenda) que nada tiene que ver con el www.movistar.es que utilizan Telefónica o Movistar.

Si estos indicios no fueran ya suficientes, decidimos pinchar en el enlace y descubrimos más detalles sospechosos:

1. La URL es de Chile: si nos fijamos en la barra de direcciones de nuestro navegador, veremos que la URL lleva la terminación .cl en vez de la .es propia de las páginas web españolas.

2. Más errores gramaticales: se usa incorrectamente la palabra rut en lugar de router.

3. Los menús de la página no funcionan cuando se pulsas sobre ellos.

Muchos tipos de phishing

Tu banco, Correos, Amazon, Netflix, la Agencia Tributaria, una oferta de trabajo, una página donde has comprado algo o contratado un servicio... Son muchas las excusas y los tipos de engaño que usan para hacerte "picar":  te damos algunas recomendaciones de cómo proceder según el tipo de engaño del que seas víctima.

• Recibes una comunicación que pretende ser del banco,  indicándote que para poder seguir usando la banca online necesitan verificar tu identidad y te proponen un enlace donde a continuación te piden tus claves de acceso a la banca online.

  Si crees que han suplantado a tu página del banco y has dado información financiera ponte en contacto inmediatamente con tu banco para hacérselo saber.
  

• Te llega un correo "profesional" Si te llega un correo de un desconocido con un cargo importante invitándote a una reunión por Teams, y te dejan un enlace con el que logarte con tu correo-e y clave de acceso de la empresa. Con esos datos, podrían acceder al sharepoint o servidores de tu empresa y acceder a información sensible y estratégica.

  Si el engaño te ha llegado a través del email corporativo y has proporcionado tus credenciales, contacta con el Centro de Atención a Usuarios - CAU, ellos te darán las pautas a seguir.
  

• Te llega un falso correo o mensaje SMS de Correosen el que te piden que debes pagar un pequeño precio por una entrega de un paquete, y resulta que has dado tu número de tarjeta...

  - Anula esa tarjeta cuanto antes.

  - Llama a tu banco y ellos te darán las pautas a seguir.
  

• Recibes un correo de Paypal. Si te ha llegado un supuesto email de Paypal informándote de un cuantioso pago realizado con tu cuenta y te piden hacer clic en un enlace para anularlo... pero claro, previamente debes proporcionar tus claves de acceso.

  - En ese caso es muy importante cambiar la contraseña de ese servicio, en este caso Paypal, cuanto antes.

  - Si eso no fuera posible, deberías ponerte en contacto con la compañía para informar del fraude o, avisar al  banco asociado a tu cuenta de Paypal o servicio correspondiente.

Estos son solo algunos ejemplos , pero  así muchos más: las excusas de los ciberdelincuentes son muy numerosas. Y, por muy llamativo que sea el gancho que utilicen para engatusarnos (cupones de descuento, reembolsos, smishing … ), hay que andarse con ojo y estar atento a las señales.

El ciberataque "de moda"

Desde hace un tiempo están alertando sobre falsos SMS: mensajes que llegan a nuestros teléfonos móviles en principio procedentes de bancos, de entidades como Correos, Hacienda o de alguna de las administraciones, alertándote de la falta de alguna documentación, del bloqueo de una cuenta, de un cargo que nos han realizado... 

Con ese alarmante mensaje lo que pretenden es dirigir a la víctima a una página que simula ser la página web oficial de una entidad bancaria o de un organismo determinado, pero que en realidad es falsa, y allí hacerle dar una serie de pasos destinados a solucionar ese "grave" problema. Pero la amenza está en el mensaje en sí, porque con ese SMS y su extraño enlace lo que se busca es robar las credenciales de acceso al servicio bancario. Es un tipo especial del phishing.

¿En qué consiste el smishing?

En esta variante del phishing, los ciberdelincuentes recurren a los mensajes de texto al móvil, los famosos SMS: nos mandan un mensaje alarmante que anima a llamar a un número de tarificación especial o a acceder a un enlace.

Nos avisan de que nuestra cuenta ha sido bloqueada y, si queremos reactivarla, hemos de pinchar en un link que nos lleva a una página web parecida a la del banco. O de que un paquete ha sido retenido en aduanas y hemos de pagar las tasas en la web enlazada, o de que no hemos aceptado los términos y condiciones... El objetivo es dirigir a la víctima a una página web falsa para robar las credenciales de acceso al servicio bancario.

Cómo son los mensajes

Según alerta OSI, los últimos mensajes SMS detectados, en campañas que se están recrudenciendo en los últimos meses:

• Recurren a términos que incitan a la acción, te invitan a hacer clic en el mensaje diciendo “seguridad”, “activar”, “actualizar”, “tarjeta”, “reactivar”, “cuenta” o “bloqueo”.

• Contienen enlaces fraudulentos con dominios como .ly, .to, .at, .com, .eu.

¿Qué debes hacer?

Desconfía de este tipo de mensajes y, si crese que hay un problema de verdad, llama directamente a tu banco o mensajería para comprobarlo.

Si has recibido un SMS y has "picado", accediendo al enlace y facilitando cualquier dato:

• Ponte en contacto cuanto antes con la entidad o el organismo en cuestión para informarles de lo sucedido y cancelar posibles acciones.

• Cambia la contraseña de acceso a tu banca online, allí y en todos servicios en los que utilices la misma clave, si es el caso.

Cómo evitar los fraudes cibernéticos

• No abras mensajes de usuarios desconocidos o que no hayas solicitado, elimínalos directamente.

• No contestes en ningún caso a estos SMS.

• Ten precaución al seguir enlaces.

• Fíjate en la url de la página web. Si no es segura, o si no corresponde con el sitio al que quieres acceder, no facilites ningún tipo de información.

• En caso de duda, consulta directamente con la entidad implicada o con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) o INCIBE.

Suplantación de identidad

El spoofing o suplantación de identidad es un ataque en el que un ciberdelincuente se hace pasar por una entidad bancaria, institución pública, una compañía... para hacerse así con los datos  personales del afectado con fines delictivos: robar dinero, hacer chantaje, propagar malware a través de archivos adjuntos, o enlaces infectados.

La suplantación de identidad se puede realizar a través de correo electrónico (un email que suplanta la identidad de una empresa), una web (que suplanta la identidad e una entidad ) o una llamada (una persona que suplanta la identidad de tu gestor del banco).

¿Llamada del banco? ¡Atento!

El último ejemplo de spoofing, que está causando estragos últimamente, consiste en que el usuario recibe una llamada, supuestamente de su banco, alertándole de que alguien está realizando operaciones en sus cuentas y le insta a transferir su dinero a una cuenta segura y para ello le piden los datos necesarios (DNI, datos de acceso, claves…). El engaño suele estar muy bien diseñado,

• loa interlocutores utilizan términos bancarios y hacen alusión a datos concretos que dan versimilitud al engaño,

• recurren a programas informáticos que permiten cambiar el número de teléfono que aparece en pantalla y "colocan" el de nuestro banco (con lo que animan a devolver la llamada para comprobar que no es una trampa, pero vuelven a atenderte los mismos).

Normalmente transfieren el dinero a una cuenta de una tercera persona que ha cedido su identidad y que recibirá una comisión a cambio del riesgo de ser pillado y, luego, trasladan el dinero a criptomonedas, donde ya se hace muy difícil su rastreo.

Como protegerse del spoofing

No solo se hace por teléfono. Otras veces recurren a un SMS con la misma intención, o incluso a un correo. Lo que diferencia a este ciberengaño de otros casos de phishing es precisamente la suplantación de identidad.

Como siempre la mejor arma para evitar caer en la trampa es el sentido común:

• Desconfía de llamadas de alertas. Ten en cuenta que el banco nunca te pedirá claves, ni códigos que se envían por SMS, ni nada.

• Comprueba lo que te dicen antes de hacer nada. No llames de vuelta a quien te llama, sino que debes colgar la llamada y llamar a tu gestor o entrar en la app y verifica los movimientos de las cuentas.

• Si has caído, ponte en contacto con el banco y con la policía cuanto antes.

Nueva ciberestafa

Los códigos QR permiten, mediante su lectura a través de la cámara de nuestros teléfonos móviles, el acceso directo a contenidos de Internet.

Aunque se vienen utilizando desde hace tiempo, se popularizaron especialmente a raíz de la pandemia, por ejemplo, para poder consultar la carta de muchos restaurantes. Pero su creciente popularidad ha hecho que los ciberdelincuentes hayan encontrado otra manera de hacerse con los datos de los usuarios, utilizando códigos QR falsos. Y ya hay varios casos de lo que se ha dado en llamar "QRishing":

• En Estados Unidos se denunció el uso de códigos QR falsos adheridos en parquímetros para realizar el pago.

• Hace unos meses desde el Ayuntamiento de Madrid se alertaba de la aparición en los parabrisas de algunos vehículos de falsas sanciones de tráfico que incluían un QR.

Un QR falso que lleva a una web fraudulenta

La manera en que funciona este engaño es la misma que en la mayoría de las estafas de este tipo: al escanear el código, se dirige al usuario a una web falsa, que finge ser auténtica. El objetivo que el consumidor, engañado, facilite sus datos a través de esos enlaces o páginas falsas. En los casos de QRishing que hemos conocido, piden las credenciales de seguridad bancarias, que luego usarán en operaciones fraudulentas.

Cómo evitar caer en la trampa del QRishing

La mayoría de los fraudes online se producen mediante el acceso a las credenciales de seguridad de los usuarios mediante métodos cada vez más sofisticados, que van adaptándose para intentar saltarse las medidas de seguridad que se van implementando. 

Para prevenir caer en este tipo de trampas y evitar el robo de datos:

• La mejor opción es identificar la dirección web a la que nos remite el código QR: hay aplicaciones de lectura de QR que permiten ver el enlace antes de abrirlo, usa mejor alguna de ellas así podrás comprobar si se trata de un enlace sospechoso.

• Instala apps solo de fuentes fiables: cuidado con los enlaces para instalar app a los que accedas a través de un QR.

• Desconfía de las páginas en las que tenga que facilitar datos personales o bancarios.

• En cualquier caso, comprueba que se trata de una página segura, que comience por https://, lo que significa que es un sitio legítimo y tiene un certificado SSL (que mantiene la seguridad de sus datos) 

No te expongas: recuerda nuestros consejos y evita el phishing y otros fraudes similares.

Vulnerabilidades del bluetooth

Los ciberdelincuentes pueden intentar acceder a tus datos a través del bluetooth sin que te des cuenta. El objetivo es hacerse con información sensible contenida en el teléfono, como tus contraseñas o tus datos bancarios y personales, parar suplantar tu identidad y realizar transacciones o compras online. Crece el bluesnarfing, que es como se conoce a este tipo de ciberataque de phishing. 

¿Cómo se produce un ataque ?

A diferencia del phishing, en el que se recurre a un engaño para robar tus datos (personales o bancarios), el bluesnarfing es un ataque complejo, que llevan a cabo hackers especializados. De entrada, solo puede darse si se cumplen una serie de condiciones .

• Es preciso que tengamos activada la conexión bluetooth del dispositivo.

• El ciberdelincuente debe estar cerca de ti: la conexión bluetooth no suele alcanzar más allá de los 15 metros, por lo que es preciso que el hacker se encuentre en las proximidades de tu móvil.

• Lo habitual es que nuestro móvil nos pida autorización para permitir el emparejamiento con otros dispositivos, pero los ciberdelincuentes pueden utilizar programas específicos para encontrar vulnerabilidades que permitan establecer una conexión con nuestro dispositivo sin que nos demos cuenta y acceder así a nuestros datos.

El resultado es que pueden llegar a robarnos información sensible (contraseñas, por ejemplo), pueden suplantar nuestra identidad y, si llegan a acceder a nuestros datos bancarios, pueden incluso realizar transacciones o compras online.

En cualquier caso, los modelos de smartphone más nuevos (o más actualizados) no son vulnerables a este tipo de ataque: para que se produjera tendrían que abrir específicamente los ajustes bluetooth del teléfono, y aclarar las implicaciones de desactivar el bluetooth (lo de que no funcionen otros dispositivos). 

Cómo evitar ser víctima del bluesnarfing

Lo mejor esprevenir, evitar que los ciberdelincuentes puedan acceder a nuestro dispositivo:

• Es muy importante actualizar el software de tu dispositivo móvil, mantenerlo siempre actualizado a la ultima versión: las actualizaciones corrigen debilidades existentes y aumentan la seguridad de nuestros terminales.

• Mantener desconectado el bluetooth mientras no se utiliza evita este tipo de intrusión (pero claro, si no lo usas, porque si desactivas el bluetooth no podrás conectarte a otros dipositivos, si es que lo haces). Más realista es configurarlo para que no sea visible desde otros dispositivos.

• No aceptes solicitudes de dispositivos desconocidos. En ningún caso hay que permitir el emparejamiento de otro dispositivo sin tener la certeza de que pertenece a alguien conocido.

Estafa de las tarjetas de bancos

Phishing, smishing, qrishing, páginas web falsas ... el objetivo de todas estas ciberestafas suele ser hacerse con los datos personales o bancarios de los usuarios que, incautos, pican el anzuelo. A menudo lo que quieren es la información de tu tarjeta, para luego usarla de manera fraudulenta: eso es hacer carding.

Desde la Osi, la Oficina de Seguridad del Internauta  alertan de este fraude, que consiste en usar los datos robados de tarjetas, replicados en otras tarjetas virtuales, para pagar compras.

Carding: el robo “virtual” de tu tarjeta

¿Cómo pueden robar tu tarjeta sin que te des cuenta? Los delincuentes consiguen los datos haciéndote picar en cualquier de sus trampas, o bien directamente haciéndose con ellos usando la tecnología. Los datos obtenidos son replicados en otra tarjeta virtual, y con ella van pagando compras y servicios hasta ir vaciando tu cuenta. A veces son pequeñas cantidades, lo que hace que puedas tardar tiempo en reparar en el robo, pero otras veces pueden quitarte de la cuenta mucho dinero.

¿Cómo lo hacen?

En la práctica, aprovechan para quedarse con los datos de la tarjeta:

• Cuando los usuarios caen en la trampa del phishing, en cualquiera de sus variantes.

• A partir de brechas de seguridad en determinadas páginas web, que dejan expuestos los datos bancarios de sus clientes.

• Si metemos los datos de la tarjeta en una página falsa.

• O, simplemente, si han usado un lector NFC o RFID para robar los datos de tu tarjeta.

Prevención para evitar el carding 

1. Desconfía de mensajes o correos que no esperes o cuyo origen desconozcas, especialmente si te piden los datos de tu tarjeta: ni tu banco, ni Hacienda, Correos o el Ayuntamiento van a usar esos sistemas para actualizar tus datos.

2. Deja los datos de tu tarjeta solo en páginas web que sean seguras: desconfía de las que no tienen claros datos de contacto, presentan erratas, partes sin traducir... comprueba que el sitio web que comienza con “https” (en lugar de “http”). Asegúrate de que es una web que usa pasarelas de pago seguras.

3. Activa el doble factor de autenticación para los pagos con tarjeta.

4. No hagas compras ni pagos online en ordenadores públicos.

5. Cuando pagues en un establecimiento, no pierdas de vista tu tarjeta.

6. Desde Osi aconsejan usar un protector antirrobo de tarjetas para guardarlas en tu bolsillo.

7. También recomiendan desactivar el sistema NFC de tu dispositivo móvil cuando no se esté usando.

8. A veces lo que sustraen son cantidades pequeñas: revisa tu cuenta bancaria regularmente para detectar cualquier transacción financiera sospechosa.

9. Si detectas un uso fraudulento de tu tarjeta anúlala cuanto antes y denuncia el posible robo de los datos de la tarjeta ante la policía. 

10. Asegúrate de  tener tus dispositivos y aplicaciones actualizados, pues así estarán más protegidos.

El Timo de la llamada perdida

Llaman y cuelgan. Y devuelves la llamada sin saber que es un truco para hacerte telefonear a un número de tarificación especial y sacarte así algo de dinero. Mucho o poco, es tuyo. Infórmate sobre este engaño, conocido con el sugerente nombre de Wangiri, que significa “llamada y corte" en japonés.

Quizá te ha pasado o le ha sucedido a alguien de tu entorno: te llaman por teléfono y antes de que puedas cogerlo, se corta. Llamas a quien te ha llamado, y nadie contesta al otro lado de la línea. Al ver que no hay respuesta, acabas por colgar... pero entre tanto has llamado (y has mantenido la llamada al menos unos segundos) a un número de tarificación especial, quizá en el extranjero, un número de esos que cobran mucho por el establecimiento de llamada y por el tiempo de conexión.

Te han timado y lo peor es que no te das ni cuenta, porque probablemente no repararás en ello hasta que llegue la factura de teléfono, más cara de lo habitual o con llamadas “especiales” fuera de la tarifa que tienes contratada, unas llamadas que no eres consciente de haber hecho. Has caído en la trampa del timo de la llamada perdida.

¿Cómo evitar caer en la trampa de Wangiri?

La única manera de prevenir esta estafa es no devolviendo la llamada perdida, o no haciéndolo antes de haber tratado de saber quién te llamaba. Si tienes dudas, piensas que te ha podido llamar un contacto, un compañero... trata de comprobar el número:

• Reconocerás que es un número del extranjero porque su identificador comenzará por un “+” o un “00” seguido de un prefijo antes del número de teléfono en sí (el prefijo español es +34 o el 0034, pero los operadores retiran este prefijo para las llamadas nacionales).

• Hay algunos prefijos especialmente sospechosos: la Guardia Civil alertó de las llamadas procedentes de +355 Albania, +225  Costa de Marfil, +233 Ghana, +234 Nigeria, pero puede ser cualquier otro.

• También son de tarificación especial las llamadas con prefijos +803, +806 o +807 también son de tarificación especial.

• Algunos terminales son capaces de reconocer directamente en el directorio de llamadas la localización de la llamada, si es el tuyo uno de ellos lo tienes más fácil.

• Otra opción si aún tienes dudas es, antes de rellamar sin más, recurrir a un buscador web (Google, Bing…) y meter el número exacto que sale en la pantalla para tratar de identificar al remitente: si es una empresa conocida quizá ese número figure en alguna página web y sea fácil contrastar su veracidad.

¿Qué hacer si has picado?

Si has picado y has recibido tu factura de telefonía por un importe mayor de lo esperado, incluso aunque no sea desorbitado, no te lo calles:

• Denúncialo ante las Fuerzas y Cuerpos de Seguridad del Estado en cualquier comisaría o a través del INCIBE

• Intenta recopilar todas las evidencias que demuestren la trampa: el registro de llamadas de tu teléfono, facturas del operador, cobro del banco... todo esto ayudará con la denuncia.

No bajes la guardia frente a los engaños 

Recuerda que el wangiri no es el único timo que se realiza mediante llamada de teléfono, sino que cada vez son más los engaños que se producen por esta vía, como el vishing, el timo de la doble llamada, el spoofing. Hay muchas variantes y es importante conocerlos para poder identificarlos. 

No son tu banco o Caja de Ahorros

Si recibes una llamada telefónica en nombre de tu banco alertándote de que alguien está utilizando tus tarjetas, o para devolverte dinero porque te han efectuado un cargo erróneo… ¡Mucho cuidado! Podrías estar sufriendo un ataque de vishing. Te contamos en qué consiste y qué hacer si has caído en la trampa.

Vishing: en qué consiste y cómo evitar este "timo"

Si tienes una llamada de un "presunto" empleado de tu banco que te dice que alguien ha hecho un cargo en tu tarjeta y necesita verificar algunos datos; o te llaman del supermercado en el que sueles hacer la compra para hacerte una encuesta de usuario y premiarte después con un cheque regalo y te piden tus datos bancarios... desconfía.  Puede que estés siendo víctima del Vishing.

En este tipo de timo los estafadores llaman a la víctima haciéndose pasar por una entidad u organización reconocida y le persuaden para que revele información privada.

Y para solucionarle el problema o para hacerle entrega del cheque regalo, por ejemplo, solicitan los datos de la tarjeta o de sus claves, y con ellos los amigos de lo ajeno pueden realizar compras o una transferencia en tu nombre que van a parar a sus bolsillos. En ocasiones incluso puede que te den ciertos datos y claves de tus cuentas (que son públicos o que han obtenido a través de phishing) para que confíes en ellos, algo que nunca debes hacer. De hecho, son datos que los bancos nunca te pedirán.

Qué debes hacer contra el vishing

Cuelga la llamada y no ofrezcas ningún dato por teléfono (ni personales ni credenciales de medios de pago). Tu banco nunca te los pediría, así que si te los piden por cualquier medio (correos electrónicos, SMS, llamadas de teléfono, páginas web…) seguramente se trata de un intento de fraude.

Si dudas, ponte en contacto con la entidad o empresa para aclarar lo que creas oportuno, siempre buscando el número de teléfono en tu agenda o en la web. 

¿Y si ya has caído en la trampa?

Si crees que has podido ser víctima de phishing, ponte en contacto con tu banco cuanto antes. La normativa establece la obligación de comunicar sin demora injustificada, en cuanto tenga conocimiento que se ha producido una operación de pago no autorizada. Así cumpliremos la principal obligación del consumidor en estos casos y evitaremos que la entidad pueda alegar que hemos actuado de manera negligente.

También debes denunciarlo ante las Fuerzas y Cuerpos de Seguridad del Estado en cualquier comisaría o a través des sus diferentes portales web. Intenta recopilar todas las evidencias que demuestren la trampa: el registro de llamadas de tu teléfono, facturas del banco... todo esto ayudará con la denuncia.

Y si en algún momento detectas movimientos en tus cuentas o pagos con tus tarjetas que no has realizado, lo primero que debes hacer es reclamarlo inmediatamente a su entidad. Y es que la ley dice que cualquier pago no autorizado por el titular no correrá por cuenta del usuario. No obstante, aún hay entidades que se hacen las remolonas, culpando al consumidor de haber sido negligente, considerando en muchas ocasiones que no son responsables de este tipo de estafas porque sus sistemas informáticos no están siendo atacados ni se están produciendo brechas de seguridad en los mismos.